セキュリティ

SECURITY

公開：2024-12-17

【CVE-2024-43049】QualcommのWLANドライバーにメモリバッファの脆弱性、FastConnectやSnapdragonなど19製品に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommのWLANドライバーにメモリ破損の脆弱性
• FastConnect、QCC、Snapdragonなど19製品に影響
• CVSSスコア7.8のハイリスク脆弱性として評価

QualcommのWLANドライバーに深刻な脆弱性【CVE-2024-43049】

Qualcommは2024年12月2日、同社のWindows向けWLANドライバーにメモリバッファの制限に関する脆弱性が発見されたことを公開した。この脆弱性はCVE-2024-43049として識別されており、WLANドライバー内でユーザー空間からIOCTL呼び出しを介してジェネリックプライベートコマンドを設定する際にメモリ破損が発生する可能性があるという特徴を持っている。^[1]

この脆弱性の深刻度はCVSSv3.1で7.8のハイリスクと評価されており、ローカルでの攻撃が可能で攻撃の複雑さは低いとされている。攻撃者は特権レベルは必要とするものの、ユーザーの関与なしで攻撃を実行でき、機密性や整合性、可用性に高い影響を及ぼす可能性があるだろう。

影響を受ける製品は、FastConnect 6700/6900/7800やQCC2073/2076、Snapdragon 429 Mobile Platform、Snapdragon 7c+ Gen 3 Computeなど、合計19の製品に及んでいる。Qualcommはセキュリティ情報を公開し、影響を受ける製品の特定と対策の詳細について説明を行っている。

影響を受けるQualcomm製品まとめ

Qualcommセキュリティ情報の詳細はこちら

メモリバッファについて

メモリバッファとは、コンピュータシステムにおいてデータを一時的に保存するための領域のことを指す。主な特徴として、以下のような点が挙げられる。

• データの一時保存領域としてメモリ上に確保される領域
• プログラムの実行時にデータの読み書きを効率的に行う
• 適切な制限や境界チェックが必要な重要な領域

今回の脆弱性では、WLANドライバー内でユーザー空間からのIOCTL呼び出しによってメモリバッファの制限が適切に機能していない状態が発見された。メモリバッファの制限が適切に行われない場合、バッファオーバーフローやメモリ破損などの深刻な問題が発生する可能性があるため、早急な対策が必要とされている。

QualcommのWLANドライバーの脆弱性に関する考察

Qualcommの製品に影響を与える今回の脆弱性は、WLANドライバーという基本的なネットワーク機能に関わる部分で発見された点が重要である。特にSnapdragonプラットフォームは多くのモバイルデバイスやコンピュータで使用されており、影響範囲が広範に及ぶ可能性があることから、製品管理体制の見直しが必要になるだろう。

今後はドライバーレベルでのセキュリティ検証をより厳密に行う必要性が出てくるものと考えられる。特にIOCTL呼び出しのような低レベルの操作に関しては、バッファサイズの検証やメモリアクセスの制限など、より堅牢な実装が求められることになるだろう。

また、多様な製品ラインナップを持つQualcommにとって、クロスプラットフォームでの統一的なセキュリティ対策の実装が課題となってくる。ドライバーのアップデート配布の迅速化や、セキュリティパッチの適用状況の可視化など、製品ライフサイクル全体を通じたセキュリティ管理の強化が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-43049 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-43049, (参照 24-12-17).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧